Coming soon ... IT Summit by heise

Cyberrisiken versichern: Welche Nachweise Versicherer fordern

Eine Cyberversicherung setzt voraus, dass das Unternehmen bereits seine Risiken minimiert und die erforderlichen technischen sowie organisatorischen Security-Vorkehrungen getroffen hat. Den Nachweis erbringt im besten Fall eine anerkannte Zertifizierung, im Normalfall von IT-Grundschutz nach ISO 27001.

© Gorodenkoff – v .com
Bild: © Gorodenkoff – stock.adobe.com

Audit vor dem Abschluss

Von Dirk Bongardt

Auch Versicherungen brauchen Sicherheit. Ein Holzhaus mit offener Feuerstelle gegen Brand zu versichern, ist deshalb ein schwieriges Unterfangen. Dass bei ihnen alles „feuerfest“ ist, müssen auch Unternehmen nachweisen, die sich gegen Cyberrisiken absichern wollen, denn kommt es erst einmal zu einem Cybervorfall, entstehen je nach Unternehmen und Vorfall schnell Kosten in Millionenhöhe. Zertifizierungen sind ein wichtiger erster Schritt, um Versicherer zu überzeugen.

Das Internet ist längst zu einem zentralen Punkt der Industrie geworden und hat Produktionsprozesse miteinander vernetzt. Diese Entwicklung hat jedoch auch zur Folge, dass Unternehmen vermehrt zum Ziel von Internet-Kriminellen werden. Nach Selbsteinschätzung deutscher Unternehmen entstanden im Jahr 2022 durch Cybercrime Schäden in Höhe von 202,7 Milliarden Euro. Bereits im Berichtsjahr 2021 wurden fast 150.000 Straftaten im Bereich Cyberkriminalität in der Kriminalstatistik des Bundeskriminalamts erfasst, wobei vermutet wird, dass die Dunkelziffer noch wesentlich höher liegt.

Bedingungen der Police

Damit eine Versicherung im Schadensfall übernimmt, muss zum einen der Vorfall von der Versicherung gedeckt sein, zum anderen die Art des Schadens. Kommt es etwa zu einem Fall von Computersabotage, kann das zu einer mehrtägigen Betriebsunterbrechung führen. Die Versicherung reguliert den Schaden aber nur dann, wenn sowohl die Computersabotage unter die versicherten Vorfälle fällt, als auch die Betriebsunterbrechung unter die versicherten Schäden. Da die Betriebsunterbrechung aber zu den Schreckensszenarien vieler Unternehmer gehört, versichern sich die meisten direkt dagegen.

Typische Fälle und typische Schäden

  • Computerbetrug: Ein Mitarbeiter des Unternehmens manipuliert die Zugangsberechtigungen eines Kollegen zu Kommunikationsdiensten, um vertrauliche Informationen zu stehlen und an Konkurrenzunternehmen zu verkaufen. Finanzielle Verluste entstehen dem Unternehmen durch den Diebstahl von Geschäftsgeheimnissen und eventuell durch den Reputationsschaden.
  • Betrug mit Zugangsrechten: Ein externer Angreifer verschafft sich unbefugt Zugang zu den Kommunikationsdiensten eines Unternehmens, indem er gefälschte Zugangsdaten verwendet. Dadurch kann er sensible Kundeninformationen abgreifen und für Identitätsdiebstahl oder Phishing-Angriffe nutzen. Das Unternehmen erleidet finanzielle Schäden durch den Verlust von Kundenvertrauen und mögliche rechtliche Konsequenzen.
  • Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei der Datenverarbeitung: Ein Hacker manipuliert die Daten eines Unternehmens, um die Beweislage in einem laufenden Rechtsstreit zu verändern. Dadurch entsteht dem Unternehmen ein erheblicher Schaden, da die Glaubwürdigkeit und die Integrität der Daten infrage gestellt werden, was zu (teuren) rechtlichen Nachteilen führen kann.
  • Datenveränderung, Computersabotage: Ein ehemaliger Mitarbeiter, der mit seinem Ausscheiden unzufrieden ist, infiltriert heimlich das System und löscht wichtige Unternehmensdaten. Dadurch entstehen dem Unternehmen erhebliche finanzielle Verluste, da die Daten möglicherweise nicht wiederhergestellt werden können und der Betrieb beeinträchtigt wird.
  • Ausspähen, Abfangen von Daten, einschließlich Vorbereitungshandlungen: Ein versierter Hacker gelangt über eine Sicherheitslücke ins Netzwerk des Unternehmens und sammelt vertrauliche Informationen über kommende Produkte. Diese Informationen verkauft er an einen Wettbewerber, der dadurch einen unfairen Vorteil erlangt. Das Unternehmen erleidet finanzielle Verluste durch den Verlust von geistigem Eigentum und wettbewerbsrechtliche Konsequenzen.

IT-Grundschutz-Zertifizierungen nach ISO 27001 gibt es weltweit bereits seit 2005. Bis zum Jahr 2021 besaßen in Deutschland fast 1700 Unternehmen ein solches Zertifikat. Je nach den zu versichernden Risiken verlangen Versicherungen aber oft noch weitere Nachweise.

Serie: Risikomanagement im Mittelstand
Gefahrenpotenziale erkennen, beurteilen und managen. Ein Überblick in drei Teilen: Gefahren erkennen, Risiken bewerten und Controlling aufnehmen.

IT-Grundschutz nach ISO 27001

Der IT-Grundschutz umfasst eine von der Bundesverwaltung entwickelte Methodik als Standard zur Identifizierung und Umsetzung von Sicherheitsmaßnahmen in der eigenen Informationstechnik (IT). Erarbeitet wurde die Methodik vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Hauptziel beim IT-Grundschutz ist es, ein angemessenes und ausreichendes Schutzniveau für IT-Systeme der Mittelstandsebene zu erreichen. Um dieses Ziel zu erreichen, gibt das IT-Grundschutz-Kompendium (früher: IT-Grundschutz-Kataloge) Empfehlungen für technische Sicherheitsmaßnahmen sowie infrastrukturelle, organisatorische und personelle Schutzmaßnahmen. Grundsätzlich können Unternehmen einen IT-Grundschutz auch etablieren, ohne ihn zertifizieren zu lassen. Mit einem ISO-27001-Zertifikat auf der Basis des IT-Grundschutzes kann ein Unternehmen indes auch belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen, und dadurch zusätzliches Vertrauen bei Kunden und Partnern schaffen.

MW-Zertifizierungsschema Kompendium.jpg
Bei der Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz ist das BSI selbst die Zertifikatstelle, die auf Antrag ein (zertifiziertes) Auditteam beauftragt. (Bild: BSI)

Der Standard besteht aus verschiedenen Modulen. Jedes Modul definiert spezifische Anforderungen an die IT-Sicherheit. Sie reichen von der physikalischen Sicherheit der Serverräume über die Absicherung der Netze bis hin zu Maßnahmen auf der Applikationsebene. Flexibilität ist dabei eines der wichtigsten IT-Grundschutz-Merkmale: Je nach Bedarf und Risikoprofil können Unternehmen einzelne Module auswählen und umsetzen. Das Erreichen eines angemessenen IT-Sicherheitsniveaus ist so auch für kleinere Unternehmen mit begrenzten Ressourcen möglich.

Die kontinuierliche Überprüfung und Verbesserung ist eine weitere Stärke des IT-Grundschutzes. Unternehmen sind gefordert, ihre IT-Sicherheitsmaßnahmen regelmäßig zu evaluieren und an die sich verändernde Bedrohungslage anzupassen. IT-Grundschutz bietet hierfür eine klare Struktur und unterstützt Unternehmen mit konkreten Handlungsempfehlungen.

Secutity-Cyberversicherungen-Special 2023.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Heise-Themenspecial „Security und Cyberversicherungen“. Einen Überblick mit freien Download-Links zu sämtlichen Heften bekommen Sie online im Pressezentrum des MittelstandsWiki.

Die Umsetzung des IT-Grundschutzes nach ISO 27001 kann einen Beitrag zur Minimierung der Risiken von Cyberangriffen und zur Stärkung des Vertrauens von Kunden und Geschäftspartnern leisten. Für eine effektive IT-Sicherheitsstrategie bietet der IT-Grundschutz nach ISO 27001 insgesamt eine solide Basis. Mit seiner Hilfe können Unternehmen den Schutz ihrer IT-Systeme auf ein angemessenes Niveau bringen und gleichzeitig flexibel auf neue Bedrohungen reagieren. Cyberversicherungen orientieren sich häufig an diesem Standard, wenn es darum geht, die IT-Sicherheit von Unternehmen zu bewerten.

Zertifizierung nach SOC 2

IT-Grundschutz nach SOC 2 ist ein anderer Kontrollrahmen, mit dem Unternehmen ihre IT-Systeme und -Prozesse auf Sicherheitsrisiken prüfen und bewerten können. SOC 2 steht für „Service Organization Control 2“ und ist ein Standard des American Institute of Certified Public Accountants (AICPA), der auf die Sicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und den Datenschutz von IT-Ressourcen fokussiert.

Dieses Regelwerk umfasst eine Vielzahl von Sicherheitsmaßnahmen, die auf die spezifischen Bedürfnisse eines Unternehmens zugeschnitten sind. So können IT-Manager dafür sorgen, dass ihre IT-Systeme und Prozesse den Erfordernissen des Daten- und Informationsschutzes entsprechen. Firewalls, Passwortrichtlinien, Verschlüsselung, Netzwerksicherheit und physische Zugangskontrollen sind typische Sicherheitsmaßnahmen im Rahmen von SOC 2.

Für Unternehmen, die vertrauliche Informationen verarbeiten und speichern, ist SOC 2 besonders relevant. Darunter fallen beispielsweise Finanzinstitute, Organisationen des Gesundheitswesens und Unternehmen, die personenbezogene Daten speichern. IT-Manager in diesen Branchen müssen dafür sorgen, dass ihre IT-Systeme und -Prozesse den strengen Datenschutzbestimmungen genügen.

SOC 2 kann bei der Minimierung potenzieller Risiken eine wichtige Rolle übernehmen. Unternehmen, die SOC 2 als Rahmen verwenden, können günstigere Versicherungsprämien erhalten, da sie bereits Maßnahmen zum Schutz ihrer IT-Systeme und -Prozesse getroffen haben. SOC 2 dient der Verbesserung der Sicherheit von IT-Systemen und -Prozessen in Unternehmen und der Minimierung des Risikos von Cyberattacken und Datenschutzverstößen. Es ist daher ein wichtiges Kontrollinstrument für Unternehmen, die vertrauliche Informationen verarbeiten und speichern.

Unterschiede und Gemeinsamkeiten

Beide Zertifizierungen, SOC 2 und ISO 27001, sind international anerkannte Standards im Bereich der Informationssicherheit. Sie haben das gemeinsame Ziel, die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Informationen in Unternehmen zu gewährleisten.

Ein großer Unterschied besteht jedoch in der Herangehensweise an die Zertifizierung. SOC 2 bezieht sich speziell auf den Bereich der Services und Prozesse von IT-Unternehmen, während ISO 27001 für alle Arten von Unternehmen gilt, die IT-Systeme betreiben. SOC 2 konzentriert sich auf die Einhaltung von spezifischen Trust Services Criteria (TSC), die vom AICPA festgelegt wurden. ISO 27001 hingegen ist ein allgemeiner Rahmen für Informationssicherheitsmanagementsysteme (ISMS), der von der International Organization for Standardization (ISO) entwickelt wurde.

Ein weiterer Unterschied besteht darin, dass SOC-2-Zertifizierungen von unabhängigen Wirtschaftsprüfern durchgeführt werden müssen; damit soll sichergestellt werden, dass die Unternehmen die TSC erfüllen. Bei ISO 27001 können Unternehmen ihre eigenen Zertifizierungsaudits durchführen oder von externen Unternehmen durchführen lassen. Eine regelmäßige Überprüfung und Aktualisierung der Sicherheitsrichtlinien und -prozesse sowie eine kontinuierliche Bewertung der Risiken und Bedrohungen werden von beiden Standards gefordert.

In Summe können beide Zertifizierungen dazu beitragen, das Vertrauen von Kunden und Geschäftspartnern in die IT-Sicherheit eines Unternehmens zu stärken und mögliche Schäden durch Cyberangriffe und Datenverluste zu minimieren. Unternehmen sollten jedoch sorgfältig abwägen, welcher Standard für ihre spezifischen Anforderungen und Geschäftsfelder der richtige ist – oder ob nicht tatsächlich beide gleichzeitig infrage kommen.

CISIS12 und VdS 10000

Zwei unterschiedliche Ansätze zur Bewertung und Verbesserung der Cybersicherheit in Unternehmen seien an dieser Stelle noch genannt: CISIS12 und VdS 10000.

CISIS12 ist eine Vorgehensweise, die das IT-Sicherheitscluster in Regensburg speziell für kleine und mittlere Organisationen – sowohl für Unternehmen als auch für Kommunen und Einrichtungen der öffentlichen Hand – entwickelt hat. Das förderfähige Managementsystem für Informationssicherheit und Compliance umfasst zwölf strukturierte Maßnahmen von der grundlegenden Leitlinie bis zur Revision, oft mit Verweis auf den BSI-Grundschutz und ISO 27001.

Bei der VdS 10000 handelt es sich hingegen um ein Zertifizierungsverfahren, das von der VdS Schadenverhütung GmbH der deutschen Versicherer entwickelt wurde und sich an Unternehmen aller Branchen und Größen richtet. Bei diesem Verfahren wird die gesamte IT-Infrastruktur des Unternehmens im Hinblick auf Sicherheitsrisiken untersucht und bewertet. Bei der VdS 10000 werden neben technischen Maßnahmen auch organisatorische und personelle Aspekte wie die Schulung der Mitarbeiterinnen und Mitarbeiter oder die Zuweisung von Verantwortlichkeiten im Bereich der Cybersicherheit berücksichtigt.

Beide Zertifizierungen haben aber auch Gemeinsamkeiten. So sind beide darauf ausgerichtet, die Cybersicherheit von Unternehmen zu erhöhen und damit das Risiko von Cyberangriffen zu minimieren, und beide Verfahren rücken sowohl technische als auch organisatorische Maßnahmen in den Blick. Auch eine Zertifizierung nach CISIS12 oder VdS 10000 kann bei der Auswahl einer geeigneten Cyberversicherung eine wichtige Rolle spielen.

Kleine Firmen, große Risiken

Allen Zertifizierungen ist jedoch gemein, dass sie den meisten Soloselbstständigen und Inhabern kleinerer mittelständischer Unternehmen zu aufwendig und teils auch zu teuer sind. Cyberrisiken tragen aber auch solche Unternehmen, wenngleich die finanziellen Schäden infolge einer Betriebsunterbrechung oder anderer Sicherheitsvorfälle in der Regel geringer ausfallen. Für die Betroffenen können auch solche – an den reinen Zahlen gemessen – geringeren Schäden gleichwohl existenzbedrohend sein. Versicherer setzen angesichts der zu erwartenden Schadenshöhen die Messlatte hier eventuell etwas niedriger an, wenn es um Prämien geht oder um die grundsätzliche Bereitschaft, eine Cyberversicherung zu gewähren. Aber das heißt nicht, dass sie auch in jedem Fall zahlen: Wer Grundregeln einer sicheren Datenverarbeitung missachtet (ob aus Unkenntnis oder Nachlässigkeit spielt keine Rolle), handelt grob fahrlässig und wird die Kosten, die aus einem Cybervorfall resultieren, selbst tragen müssen. Schulungen und das Implementieren sicherer Prozesse sollten sich auch kleinere Unternehmen nicht sparen, zu denen übrigens 99 % aller Unternehmen in Deutschland zählen.

Einer, der ein Paket für solche Schulungen geschnürt hat, ist Dr. Johannes Pölz, Inhaber der schutz.digital GmbH. Er bietet ein schlankes On- und Offline-Training unter dem Titel „Der Internet Sicherheitstrainer: wie man Fallen erkennt und Angriffen ausweicht“, das Unternehmen für ihre Beschäftigten buchen können. Nach einer erfolgreichen Abschlussprüfung erhalten die Absolventen ein verifizierbares, ein Jahr gültiges Zertifikat. Wie Versicherer ein solches Zertifikat gewichten, ist individuell unterschiedlich, aber in jedem Fall verringert das Training auch das Risiko, dass Beschäftigte einen Cybervorfall durch eigenes Zutun begünstigen.

Nur versichert oder sicher?

Die steigende Zahl von Cyberangriffen und die damit verbundenen Schäden haben dazu geführt, dass Versicherungen zunehmend Nachweise über angemessene Sicherheitsmaßnahmen von Unternehmen verlangen. Wichtige Instrumente, um Versicherer von der IT-Sicherheit des eigenen Unternehmens zu überzeugen, sind Zertifikate nach ISO 27001 und SOC 2. Diese international anerkannten Standards bieten eine solide Grundlage, um IT-Systeme und Prozesse abzusichern und flexibel auf neue Bedrohungen zu reagieren. Zudem können sie das Vertrauen von Kunden und Geschäftspartnern stärken und mögliche Schäden durch Cyberangriffe und Datenverluste minimieren helfen. Es gibt jedoch auch alternative Ansätze zur Bewertung und Verbesserung der Cybersicherheit, etwa die Zertifizierungen nach CISIS12 und VdS 10000.

Letztendlich müssen Unternehmen sorgfältig abwägen, welcher Standard am besten zu ihren spezifischen Anforderungen und Geschäftsfeldern passt. Um einen umfassenden Schutz zu gewährleisten, kann es in manchen Fällen sogar sinnvoll sein, mehrere Zertifizierungen gleichzeitig anzustreben. Denn IT-Sicherheit ist schon im Eigeninteresse unverzichtbar – nicht nur, damit Versicherungen beruhigt sind. Denn was würde wohl ein potenzieller Kunde denken, der sich nach der IT-Sicherheit eines Lieferanten erkundigt und als Antwort lediglich „Wir sind gut versichert“ zu hören bekommt?

Nützliche Links